IT-sikkerhet med skybaserte system

Visste du at menneskelige feil som for eksempel å trykke på usikre lenker i e-poster utgjør 37 prosent av årsaken til digitale angrep i norske bedrifter?

Et av de beste forebyggende tiltakene du kan gjøre for å både unngå og bli forberedt på potensielle dataangrep i bedriften, er å velge riktig systemleverandør av de skybaserte systemene deres.

Det er nemlig ikke plasseringen av bedriftens data som er avgjørende for å unngå digitale angrep, men sikkerhetsrutiner knyttet til hvordan dataene behandles. Når bedriften din kjøper en skytjeneste, er det leverandøren av systemet som står for store deler av IT-sikkerheten. Så hvordan skal du velge riktig leverandør for din bedrift?

Hva gjør Visma Software til en sikker aktør?

Visma Software har en omfattende leveringsmodell for styringssystem for informasjonssikkerhet ved navn VCDM (Visma Cloud Delivery Model ). Modellen er spesielt tilpasset skytjenester. Kvalitetssystemet er sertifisert etter ISO 9001, og sikkerhetsstyringssystemet er sertifisert etter ISO 27001.

VCDMs sertifiseringer betyr at rett og slett at leveransemodellen har et informasjonssikkerhetssystem som er bygd på internasjonale anerkjente standarder. ISO 27001 oppfyller krav for å etablere, implementere og vedlikeholde et styringssystem for informasjonssikkerhet. I tillegg revideres Visma Softwares evne til å etterleve informasjonssikkerhetsstyrings- og kvalitetssystemet i VCDM av et uavhengig revisjonsselskap, i henhold til ISAE 3402. Denne omfattende kontrollen utføres også årlig, og er oppsummert i en rapport av typen ISAE 3402, type 2. Rapporten er tilgjengelig for alle våre kunder, og er tilgjengelig på forespørsel til kundesenteret@visma.no

Vi har selv opplevd dataangrep

Noe av det som har gjort oss sterkere i møtet med potensielle dataangrep, er også det faktum at vi selv opplevde å bli hacket. Angrepet var en liten del av en stor, kinesisk hackingkampanje for å stjele forretningshemmeligheter og immateriell eiendom verden over.


Hackerne fikk tilgang på innloggingsinformasjon til Visma-systemet. Passordene ble brukt til å komme inn i vårt Citrix-system, der de forsøkte å hente ut ytterligere passord, som de kunne bruke til å komme inn i systemene til Vismas kunder. Analysen fra sikkerhetsselskapet Recorded Future indikerer at angriperne var i et tidlig stadium da de ble stoppet, og at et kraftigere dataangrep var i vente.

Hvorfor var det både riktig og viktig for oss å gå ut offentlig om hendelsen? For å kunne være åpen og dele denne typen erfaringer, slik at andre bedrifter blir mer klar over sine svakheter. Det er også viktig å være åpen for å sende et klart budskap til de som utfører slike angrep.

– Det er veldig fint at Visma står frem og innrømmer og informerer. Det er veldig viktig at virksomheter gjør dette, for det kan være flere som er utsatt for akkurat det samme. Seniorrådgiver ved Norsk senter for informasjonssikring (NorSIS), Vidar Sandland

Et slikt angrep er den ultimate testen for hvor raskt angrepet oppdages, og hvordan bedriften reagerer og handler. Derfor handler mye av IT-sikkerheten om både forebygging av slike angrep, men også om å ha en klar handlingsplan for hvordan angrepet håndteres når det først skjer, slik at hackerne kan stanses før de virkelig får gjort skade.

Lønnssystem som sikrer bedriftens personopplysningerVisma-konsernet har egne selskaper og team som spesialiserer seg på relevant lovgivning og regelverk for leveranse av våre skytjenester. For eksempel jurister som jobber med personvernlovgivning, eksperter på finansiell rapportering, skatt og mva, og flere som jobber inn mot lønnsfaget relatert til arbeidsmiljøvernloven og skattemyndigheter. I Norge finnes det en rekke lover og regler som bestemmer hvordan lønn, avgifter og skatter skal beregnes. Visma Software jobber tett med skatteetaten og andre instanser for å hele tiden ligge i forkant og fortløpende oppdatere det skybaserte lønnssystemet Payroll i henhold til disse.Alle bedrifter har et ansvar for å sikre at de skytjenestene de benytter, oppfyller bestemte krav. Dette gjelder spesielt skytjenester som behandler persondata, som for eksempel et lønnssystem.

Lønnssystemet Payroll oppfyller blant annet GDPRs krav om:
Payroll krever heller ikke mer persondata enn nødvendig for å utføre en prosess. Det er for eksempel ikke nødvendig å vise en ansatts personnummer for at en leder skal kunne godkjenne et utlegg eller en timeliste.

Få en rask innføring i IT-sikkerhet på 2 minutterVisma-konsernet har egne selskaper og team som spesialiserer seg på relevant lovgivning og regelverk for leveranse av våre skytjenester. For eksempel jurister som jobber med personvernlovgivning, eksperter på finansiell rapportering, skatt og mva, og flere som jobber inn mot lønnsfaget relatert til arbeidsmiljøvernloven og skattemyndigheter. I Norge finnes det en rekke lover og regler som bestemmer hvordan lønn, avgifter og skatter skal beregnes. Visma Software jobber tett med skatteetaten og andre instanser for å hele tiden ligge i forkant og fortløpende oppdatere det skybaserte lønnssystemet Payroll i henhold til disse.Alle bedrifter har et ansvar for å sikre at de skytjenestene de benytter, oppfyller bestemte krav. Dette gjelder spesielt skytjenester som behandler persondata, som for eksempel et lønnssystem.

Lønnssystemet Payroll oppfyller blant annet GDPRs krav om:
Payroll krever heller ikke mer persondata enn nødvendig for å utføre en prosess. Det er for eksempel ikke nødvendig å vise en ansatts personnummer for at en leder skal kunne godkjenne et utlegg eller en timeliste. Payroll hverken krever eller presenterer mer persondata enn nødvendig i enhver prosess og brukerinteraksjon.

Flere eksempler på norske dataangrep

I slutten av 2021 ble det store mediekonsernet Amedia angrepet av løsepengevirus, også kjent som ransomware. Hackerne krypterte dataene i de interne systemene, som førte til at personopplysninger kom på avveie. Amedia fikk i ettertid kritikk for manglende interne rutiner og kompetanse til å vurdere det faktiske trusselbildet.Angrepene har blitt mer avansert kun på et par år, og i august 2023 opplevde regjeringe n dataangrep mot tolv departementer, som førte til umiddelbar ny e-postløsning for de involverte. Samtidig ser det dessverre ut til at både større og mindre bedrifter ikke tror at dataangrep er noe som kan ramme dem.

Ifølge MMI-undersøkelsen foretatt av If, er norske bedrifter er mest bekymret for brann (31 prosent), personskader (14 prosent) og omsetningssvikt (12 prosent). Datasikkerhet er derfor fortsatt noe som nedprioriteres i flere bedrifter, ofte med en antagelse om at det ikke vil ramme dem. Det er ikke tilfellet. Alle er et mål, enten du er i privat eller offentlig sektor, liten eller stor.

Det viktigste du kan gjøre i dag, er å planlegge for hvordan dette ikke skal skje i din bedrift, og hva dere gjør dersom dere opplever et dataangrep. Slik kan du minimere skaden når hendelsen først inntreffer.

Slik velger du riktig skyleverandør

Visste du at menneskelige feil som for eksempel å trykke på usikre lenker i e-poster utgjør 37 prosent av årsaken til digitale angrep i norske bedrifter? Et av de beste forebyggende tiltakene du kan gjøre for å både unngå og bli forberedt på potensielle dataangrep i bedriften, er å velge riktig systemleverandør av de skybaserte systemene deres.Det er nemlig ikke plasseringen av bedriftens data som er avgjørende for å unngå digitale angrep, men sikkerhetsrutiner knyttet til hvordan dataene behandles. Når bedriften din kjøper en skytjeneste, er det leverandøren av systemet som står for store deler av IT-sikkerheten. Så hvordan skal du velge riktig leverandør for din bedrift?

“Fra min side var det aldri oppe til vurdering å gå for en billigere ERP-løsning fra en mindre anerkjent aktør som ikke har de samme bakapparatene når det kommer til IT-sikkerhet.”

IT-sjef  i Apotekforeningen, Steffan Antonsen, om det skybaserte systemet Visma.net ERP

Krev at leverandøren av skytjenesten:
  • Har store team som kun jobber med å avdekke sårbarheter.
  • Følger strenge retningslinjer og har systemer som fanger opp avvik.
  • Utfører jevnlige sikkerhets- og programvareoppdateringer.
  • Viser full åpenhet rundt hvordan de jobber med IT-sikkerhet.
  • Hjelper kundene med å ta gode sikkerhetsmessige valg.
Et smart sted å begynne når du skal kjøpe en skytjeneste, er å gjøre en risikovurdering av aktøren og den tjenesten leverandøren tilbyr.

Hva mer gjør Visma Software for å ivareta din IT-sikkerhet?

I likhet med mange store selskaper verden over, som Google og Amazon, har Visma Software også åpnet opp for at dyktige hackere rundt om i verden kan utfordre programvare og systemer. Når hackerne oppdager sårbarhet, må de rapportere dette gjennom Vismas BugBounty-program. Visma Software forplikter seg til å fikse sårbarhetene hackerne eventuelt avdekker. Hackere som dekker sikkerhetshull får i tillegg anerkjennelse på Visma Security Hall of Fame.

Kryptering er en effektiv mekanisme for å hindre at data kan misbrukes hvis de havner i feil besittelse. Dataene vil da være uleselige, og krypteringsnøkler er laget et separat og trygt sted som kun Visma Software har tilgang til. Det skilles gjerne mellom kryptering i transport (in transit) og kryptering ved lagring (at rest) Videre kan kryptering ved lagring ytterligere spesifiseres for spesielt interesserte. Alle Visma Softwares skytjenester benytter https: med TLS for sikring av data i transport. Ved lagring og backup, benyttes forskjellige metoder. Persondata er alltid kryptert, også ved lagring. Krypteringen mellom nettleseren og våre skytjenester hindrer hackere i å kunne lytte på linjen. Skulle hackere eller insidere klare å få uautorisert tilgang til kundedata, så vil de også oppleve at dataene er krypter der de er lagret, og uleselige uten å ha riktige nøkler.

Visma Software jobber også kontinuerlig med sårbarhetsanalyser, penetrasjonstester og automatisk kodescanning.

Slik fungerer
IT-sikkerheten i Visma Softwares systemer

Business NXT og Visma net ERP er eksempler på ERP-systemer som har et styringssystem for informasjonssikkerhet, som betyr at bedriften din alltid er oppdatert, tilgjengelig og trygg. Her sørger nettopp Visma Softwares leveransemodell, VCDM for dette. Du kan lese mer om hvordan leveransemodellen ivaretar bedriftens IT-sikkerhet her.

Vi merker at vi har kunnet senke skuldrene betydelig når det kommer til datasikkerheten vår. Det er godt å vite at det er tatt hånd om av leverandøren.

Hvilket sikkerhetsansvar har du selv?

Sikkerhetsbevisstheten til ansatte i norske virksomheter er generelt lav. Alle bedriftsledere bør som minimum sørge for at alle ansatte har grunnleggende kompetanse innen IT-sikkerhet. Hackerne finner stadig nye veier inn i systemene dine, enten du er en liten, mellomstor eller stor bedrift. Det dukker opp flere eksempler på at trusselaktører krever løsepenger som betaling for å gi bedriftenes data tilbake hele tiden. Dette er kun én av flere angrepsmetoder. Det betyr at du må forebygge samtidig som du gjør deg forberedt på potensielle digitale angrep. Hva er planen din den dagen dere blir rammet?

Alle trenger ikke å forstå alt, men alle trenger å forstå det grunnleggende, slik som for eksempel gode passordrutiner. Resten tar leverandøren seg av.

Du kan sørge for:
  • Opplæring i forbindelse med passordhåndtering og passord-manager.
  • Hvis passordet ditt kommer på avveie, sørger 2-faktor-autentisering for at det samme ikke skjer med selve brukerkontoen.
  • Intern kunnskap om phishing-angrep.
  • Å ha et bevisst forhold til data back up.

Alt du trenger å vite om IT-sikkerhet i bedriften

Sikkerhet i skybaserte løsninger dreier seg om mer enn å beskytte dataene dine for uautorisert tilgang. Det handler også om at skytjenesten er utviklet og driftet på en slik måte at den alltid er tilgjengelig for deg, og at den leveres i henhold til gjeldende lover og regler.

Hva vet du om trusselbildet i dag og hvordan sikrer du bedriftens IT-systemer?

Dette webinaret forklarer blant annet hvordan du kan gjøre en risikovurdering når du kjøper skytjenester
Lurer du på noe, eller ønsker du en demo av løsningen?
Kontakt oss

Når du oppgir dine personopplysninger ovenfor, vil Visma behandle disse i samsvar med vår personvernerklæring.

Alle våre skytjenester har en AI-chatbot som er tilgjengelig 24 timer i døgnet.

Mellom kl. 09:00–15:00 kan du også chatte direkte med våre produkteksperter eller din Visma Partner.

Start Chat med oss i høyre hjørne.

Eller besøk vårt kunnskapssenter for nyheter, brukertips og fagartikler om alle våre produkter